Az Airflow engedélyezési problémáinak megoldása az Azure Entra ID integrációval

Temp mail SuperHeros
Az Airflow engedélyezési problémáinak megoldása az Azure Entra ID integrációval
Az Airflow engedélyezési problémáinak megoldása az Azure Entra ID integrációval
Daniel Marino
2024. november 11., hétfő 19:21:00

Az OAuth-kihívások leküzdése az Azure Entra ID-vel és az Airflow-val

A hitelesítés konfigurálása a vállalati alkalmazásokhoz gyakran összetett folyamat lehet, különösen akkor, ha olyan fejlett platformokkal dolgozik, mint pl Azure Entra ID és Apache Airflow. 🎛️ A mai felhőalapú környezetekben az ilyen integrációk biztonságos, központosított felhasználókezelést kínálnak, de kihozhatják a részüket a technikai akadályokból, különösen az OAuth-alapú engedélyezés esetén.

Képzelje el, hogy mindent aprólékosan beállított – az OAuth-ügyfelektől a szerepkörökig az Azure-ban –, és a kezdeti hitelesítés zökkenőmentesen működik. Azonban amikor úgy gondolja, hogy készen áll az élő adásra, egy engedélyezési hiba megjelenik, hidegen leállítva a fejlődést. Ez frusztráló élmény lehet, de olyan kihívás, amely megoldható az Azure JSON Web Key Set (JWKS) követelményeinek mélyebb megértésével.

Ez a cikk egy valós helyzettel foglalkozik, ahol a telepítés befejeződött, de az Airflow elutasítja a felhasználókat az engedélyezési szakaszban. Megvizsgáljuk az „Érvénytelen JSON webkulcs-készlet” hibaüzenet lehetséges okait, és végigvesszük a hibaelhárítási tippeket annak érdekében, hogy sikeres OAuth integráció termelési környezetben.

Ha megoldja ezeket a gyakori problémákat, készen áll arra, hogy optimalizálja biztonsági beállításait a zökkenőmentes, engedélyezett hozzáférés érdekében. Merüljünk el, hogy betekintést nyerjünk ezekből a hibákból! 🔑

Parancs Használati példa
azure.authorize(callback=url_for('authorized', _external=True)) Ez a parancs elindítja az OAuth engedélyezési folyamatot, átirányítva a felhasználókat az Azure bejelentkezési oldalára. A visszahívási paraméter meghatároz egy függvényt, amely kezeli az engedélyezési választ a felhasználó hitelesítése után.
jwks_uri A JSON Web Key Set (JWKS) URI az Azure által a JWT-tokenek hitelességének ellenőrzéséhez használt nyilvános kulcsok lekérésére van megadva. Ez a beállítás kritikus fontosságú a biztonságos tokenellenőrzés biztosításához.
get_oauth_user_info Ez a módszer felül van írva a felhasználói információk elemzéséhez és a hitelesítés során kapott JWT-jogkivonatból való kinyeréséhez. Testreszabja a felhasználói adatok kezelésének módját az engedélyezés után, leképezve a tokenadatokat az Airflow felhasználói tulajdonságaihoz.
authorize_url Ez a parancs határozza meg az URL-végpontot a felhasználói engedélyezéshez az Azure-ban. Itt kezdődik az OAuth folyamat, amely egy bejelentkezési felületre irányítja a felhasználókat, hogy engedélyezze az alkalmazások elérését.
access_token_url Megadja azt az Azure-végpontot, amely a hozzáférési jogkivonat engedélyezési kódjának cseréjére szolgál, amely hozzáférést biztosít a felhasználói profilhoz és a hatókörben meghatározott egyéb engedélyekhez.
session.get('azure_token') Lekéri az Azure OAuth-jogkivonatot a munkamenet-tárhelyről, lehetővé téve a hozzáférést a védett végpontokhoz azáltal, hogy megadja a hozzáférési jogkivonatot az API-kérésekben. Ez a parancs biztosítja a token biztonságos tárolását és kezelését a munkamenet tárolójában.
client_kwargs További ügyfélkonfigurációs paramétereket tartalmaz az OAuth számára. Itt a client_kwargs olyan hatókörök meghatározására szolgál, mint az openid, az e-mail és a profil, hogy szabályozza, hogy az alkalmazás milyen típusú adatokat férhet hozzá a felhasználó nevében.
super().get_oauth_user_info A Python super() függvényét használja az alapértelmezett OAuth felhasználói információs metódus egyéni elemzéssel történő kiterjesztésére. Ez a megközelítés lehetővé teszi számunkra, hogy kezeljük a hibákat és a hibakeresési naplókat, miközben megőrizzük az örökölt funkcionalitást.
request_token_params Extra paramétereket határoz meg a kezdeti OAuth-kéréshez. Ebben a beállításban megadja a felhasználótól kért hozzáférési hatókört, ami segít abban, hogy a hitelesítés során csak a szükséges felhasználói adatokat kérjék le.
window.location.href A JavaScript előtér-parancsfájlban használt parancs dinamikusan átirányítja a böngészőt az OAuth engedélyezési URL-címére. A bejelentkezési folyamat elindításához felhasználóspecifikus lekérdezési paraméterekkel hozza létre az URL-t.

Az OAuth biztonság fokozása az Airflow-ban egyéni szkriptekkel

Ebben a megoldásban az integráció módjával foglalkozunk Azure Entra ID -vel Légáramlás OAuth-alapú hitelesítéshez és engedélyezéshez. Ez az integráció biztonságos és központosított módot biztosít a felhasználók hozzáférésének kezelésére, ideális az összetett biztonsági követelményekkel rendelkező szervezetek számára. A kezdeti szkript úgy működik, hogy beállítja a szükséges OAuth-konfigurációt az Airflow háttérrendszerében, meghatározva olyan fontos paramétereket, mint pl. JWKS URI (JSON Web Key Set URI), amely lehetővé teszi a token hitelességének biztonságos ellenőrzését. A „jwks_uri” célja nyilvános kulcsok lekérése az Azure-ból, amely biztosítja, hogy az Azure-ból kapott JWT-k (JSON web-tokenek) legitimek és sértetlenek legyenek. Ez döntő lépés, mivel a megfelelő ellenőrzés nélküli tokenek jogosulatlan hozzáféréshez vezethetnek.

A szkript az „authorize_url” és az „access_token_url” paramétereket is használja, amelyek meghatározzák az URL-végpontokat az Azure-ban az OAuth-folyamat elindításához és a hozzáférési jogkivonatok engedélyezési kódjainak cseréjéhez. Ezek az URL-ek kulcsfontosságúak ahhoz, hogy a felhasználókat az OAuth folyamaton keresztül irányítsák, kezdve egy Azure-bejelentkezési oldallal, majd a hitelesítés után visszaküldik őket az Airflow-ba. Például egy alkalmazottat, aki bejelentkezik a vállalat Airflow irányítópultjára, átirányítják az Azure-ba, ahol megadják hitelesítési adataikat. Sikeres bejelentkezés után az Azure visszaküldi a felhasználót az Airflow felületre, és egy hozzáférési jogkivonatot ad át a háttérben, amely lehetővé teszi számára az Azure-szerepkörük alapján engedélyezett hozzáférést.

Ezenkívül a szkriptben található egyéni biztonsági osztály, az `AzureCustomSecurity', egy felülírási funkciót, a „get_oauth_user_info” hasznosít, amely lehetővé teszi az Airflow számára, hogy közvetlenül a JWT-ről kérje le a felhasználóspecifikus információkat. Ez különösen hasznos, mivel testreszabja, hogy az Airflow milyen adatokat kérjen le a tokenből, beleértve a felhasználónevet, az e-mail-címet és a csoportszerepeket, amelyek közvetlenül korrelálnak az Azure-beli szerepkörekkel, például „Admin” vagy „Viewer”. Például, ha egy felhasználó az „airflow_nonprod_admin” csoporthoz tartozik az Azure-ban, akkor az Airflow „Rendszergazda” szerepköréhez van hozzárendelve, így rendszergazdai szintű hozzáférést kap. Ez a megközelítés szükségtelenné teszi az Airflow-n belüli további szerepkör-beállításokat, így ez egy méretezhető megoldás a szervezetek számára.

Végül a JavaScript előtérbeli szkript elindítja az OAuth-folyamatot úgy, hogy a felhasználókat a megadott engedélyezési URL-re irányítja át a megfelelő lekérdezési paraméterekkel, beleértve az ügyfél-azonosítót és a hatókört. Ez biztosítja, hogy csak meghatározott engedéllyel (például profilok és e-mailek olvasása) rendelkező felhasználók folytathassák az OAuth-folyamatot. Ha az engedélyezés meghiúsul, a szkript barátságos hibaüzenettel riasztja a felhasználót, és probléma esetén is zökkenőmentes felhasználói élményt biztosít. Ezek a háttér- és előtér-összetevők együttesen egy összefüggő és biztonságos beállítást hoznak létre, amely egyszerűsíti a felhasználók hozzáférését és megvédi az alkalmazást a jogosulatlan próbálkozásoktól – ez kulcsfontosságú intézkedés az érzékeny szervezeti adatok védelmében. 🔒

OAuth-engedélyezési hibák megoldása az Airflow-ban több parancsfájl-megközelítéssel

Első megoldás – Python háttérszkript az OAuth-engedélyezéshez

# Import required modules and configure OAuth settings
import os
from flask import Flask, redirect, url_for, session
from flask_oauthlib.client import OAuth
# Define environment variables
tenant_id = os.getenv("AAD_TENANT_ID")
client_id = os.getenv("AAD_CLIENT_ID")
client_secret = os.getenv("AAD_CLIENT_SECRET")
app = Flask(__name__)
app.secret_key = 'supersecretkey'
oauth = OAuth(app)
# Define OAuth configuration with Flask-OAuthlib
azure = oauth.remote_app('azure',
    consumer_key=client_id,
    consumer_secret=client_secret,
    request_token_params={'scope': 'openid email profile'},
    base_url=f"https://login.microsoftonline.com/{tenant_id}",
    access_token_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/token",
    authorize_url=f"https://login.microsoftonline.com/{tenant_id}/oauth2/v2.0/authorize"
)
@app.route('/login')
def login():
    return azure.authorize(callback=url_for('authorized', _external=True))
# OAuth authorization callback route
@app.route('/oauth-authorized/azure')
def authorized():
    response = azure.authorized_response()
    if response is None or response.get('access_token') is None:
        return 'Access Denied'
    # Handle successful authorization response
    session['azure_token'] = (response['access_token'], '')
    return redirect(url_for('home'))
@azure.tokengetter
def get_azure_oauth_token():
    return session.get('azure_token')
# Run the Flask app
if __name__ == '__main__':
    app.run()

Alternatív háttérmegközelítés – Airflow konfiguráció JWKS és OpenID használatával a biztonságos token érvényesítéshez

Egy másik háttérmegoldás, amely az OpenID Connect és a JSON Web Key Set konfigurációjára összpontosít az Airflow-ban

import os
from airflow.www.fab_security.manager import AUTH_OAUTH
# Required Airflow and custom modules for handling Azure OAuth
from airflow.auth.managers.fab.security_manager.override import FabAirflowSecurityManagerOverride
from airflow.utils.log.logging_mixin import LoggingMixin
class AzureAuthConfig:
    AAD_TENANT_ID = os.getenv('AAD_TENANT_ID')
    AAD_CLIENT_ID = os.getenv('AAD_CLIENT_ID')
    AAD_CLIENT_SECRET = os.getenv('AAD_CLIENT_SECRET')
AUTH_TYPE = AUTH_OAUTH
OAUTH_PROVIDERS = [{
    'name': 'azure',
    'remote_app': {
        'client_id': AzureAuthConfig.AAD_CLIENT_ID,
        'client_secret': AzureAuthConfig.AAD_CLIENT_SECRET,
        'authorize_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/authorize",
        'access_token_url': f"https://login.microsoftonline.com/{AzureAuthConfig.AAD_TENANT_ID}/oauth2/v2.0/token",
        'jwks_uri': 'https://login.microsoftonline.com/common/discovery/v2.0/keys',
        'redirect_uri': 'https://airflow.xyz.com/oauth-authorized/azure'
    }},
# Ensure authentication maps to the correct role group in Azure
AUTH_ROLES_MAPPING = {
    "airflow_nonprod_admin": ["Admin"],
    "airflow_nonprod_op": ["Op"],
    "airflow_nonprod_viewer": ["Viewer"],
}

Frontend Script – JavaScript az OAuth-engedélyezés kezeléséhez

JavaScript-megközelítés az OAuth-átirányítások és -hibák kezelésére a kezelőfelületen

// JavaScript function to handle authorization redirect
const authorizeUser = () => {
  const oauthUrl = 'https://login.microsoftonline.com/your-tenant-id/oauth2/v2.0/authorize';
  const params = {
    client_id: 'your-client-id',
    redirect_uri: 'https://airflow.xyz.com/oauth-authorized/azure',
    response_type: 'token',
    scope: 'openid email profile'
  };
  const queryString = new URLSearchParams(params).toString();
  window.location.href = \`\${oauthUrl}?\${queryString}\`;
};
// Handle OAuth errors in the frontend
const handleOAuthError = (error) => {
  if (error === 'access_denied') {
    alert('Access Denied. Please contact your admin.');
  } else {
    alert('An unexpected error occurred.');
  }
};
// Bind function to login button
document.getElementById('login-btn').addEventListener('click', authorizeUser);

Az Azure Entra ID szerepkör-leképezésének és engedélyeinek felfedezése az Airflow-ban

Konfiguráláskor Azure Entra ID egy Légáramlás környezet, egyértelmű szerepleképezések létrehozása elengedhetetlen a hatékony hozzáférés-szabályozáshoz. A szerepkör-leképezés biztosítja, hogy az Azure Entra ID-n keresztül az Airflow-ba bejelentkező felhasználók az Azure-szerepkörük alapján kapjanak engedélyeket, biztonságos és kezelhető módot biztosítva a hozzáférési szintek szabályozására. Például szerepek hozzárendelése az Azure-ban olyan csoportokhoz, mint a airflow_nonprod_admin vagy airflow_nonprod_op segít leképezni az egyes szerepköröket meghatározott Airflow hozzáférési szintekhez anélkül, hogy az engedélyeket megkettőzné. Ez leegyszerűsíti a biztonságkezelést azáltal, hogy lehetővé teszi a rendszergazda számára, hogy közvetlenül kezelje a hozzáférési konfigurációkat az Azure-ban.

Ebben a beállításban a AUTH_ROLES_MAPPING paraméter az Azure-szerepkörök és az Airflow szerepkörök összekapcsolására szolgál, biztosítva, hogy a felhasználók megfelelő engedélyeket örököljenek bejelentkezéskor. Ha egy felhasználó a airflow_nonprod_viewer csoportban automatikusan „Viewer” szerepkört kapnak az Airflow-ban, tevékenységeiket a munkafolyamatok és naplók szerkesztési jogok nélküli megtekintésére korlátozva. Ez a megközelítés különösen hasznos a több csapattal és részleggel rendelkező szervezetek számára, mivel lehetővé teszi a felhasználói hozzáférés részletesebb szabályozását anélkül, hogy az Airflow-n belül folyamatosan frissíteni kellene az egyéni engedélyeket.

Végül az Azure Entra ID alkalmazásregisztrációs funkciójának használatával a rendszergazdák konfigurálhatják az Airflow szerepkör-követelményeinek megfelelő SAML- és OAuth-beállításokat. Például az entitásazonosító és a válasz URL-címek meghatározása biztosítja a megfelelő OAuth-jogkivonatok kiadását a felhasználói hitelesítés során. Ez a módszer nemcsak növeli a biztonságot, hanem optimalizálja a csapatmunkafolyamatokat is, biztosítva, hogy csak a jogosult felhasználók módosítsák aktívan a feladatokat az Airflow-n belül. Az ilyen stratégiák hatékonyak a nagyszabású üzembe helyezéseknél, ahol a felhasználói szerepkörök integrálása az alkalmazásbiztonsági házirendekkel létfontosságú az illetéktelen hozzáférés megakadályozása érdekében. 🔐

Alapvető kérdések az Azure Entra ID és az Airflow integrálásával kapcsolatban

  1. Mi a célja a AUTH_ROLES_MAPPING paraméter az Airflow-ban?
  2. A AUTH_ROLES_MAPPING paraméter összekapcsolja az Azure-szerepköröket az Airflow-szerepkörökkel, lehetővé téve az Azure-beli csoporttagságokon alapuló automatikus szerepkör-hozzárendelést. Ez leegyszerűsíti a hozzáférés-szabályozást azáltal, hogy megfelelő engedélyeket rendel az Azure Entra ID-n keresztül bejelentkező felhasználókhoz.
  3. Hogyan működik a jwks_uri dolgozik az OAuth beállításban?
  4. A jwks_uri meghatározza azt az URI-t, ahol az Azure nyilvános kulcsai lekérhetők a JWT-jogkivonat ellenőrzéséhez. Ez a lépés kulcsfontosságú a tokenek hitelességének ellenőrzéséhez, és megakadályozza az illetéktelen hozzáférést.
  5. Miért állítja be a redirect_uri fontos az OAuth-szolgáltatóknál?
  6. A redirect_uri megmondja az Azure-nak, hogy hova küldje a felhasználókat a sikeres hitelesítés után. Ez gyakran az OAuth-válaszokat kezelő Airflow-végpontra van beállítva, amely lehetővé teszi az Azure és az Airflow közötti zökkenőmentes integrációt.
  7. Több szerepkör is hozzárendelhető egyetlen Azure Entra ID-csoporthoz?
  8. Igen, több szerepkör is hozzárendelhető egyetlen Azure-csoporthoz, ami rugalmasságot tesz lehetővé az engedélyek hozzárendelésében. Például az „Adminisztrátor” és a „Néző” szerepkör is társítható egy csoporthoz az átfedő engedélyekhez.
  9. Mi a legjobb módja az „Érvénytelen JSON webkulcs-készlet” hibák elhárításának?
  10. Biztosítsa a jwks_uri megfelelően van konfigurálva és elérhető. Hibák gyakran előfordulnak, ha a végpont nem érhető el, vagy ha az Azure Entra ID-kulcsok helytelenül vannak gyorsítótárazva az Airflow-ban.
  11. Hogyan működik a client_kwargs hatókör növeli a biztonságot?
  12. A client_kwargs A hatókör korlátozza az Airflow által a felhasználói profilból hozzáférhető adatokat, és korlátozza a bizalmas információkhoz való hozzáférést, ami kulcsfontosságú a vállalati beállítások megfelelőségéhez.
  13. Engedélyezi WTF_CSRF_ENABLED javítani a biztonságot?
  14. Igen, WTF_CSRF_ENABLED Cross-Site Request Forgery védelmet biztosít az Airflow számára, megakadályozva a jogosulatlan kéréseket. Ez a jelző erősen ajánlott éles környezetben a nagyobb biztonság érdekében.
  15. Hogyan kezelhetek egy elutasított bejelentkezési kérelmet?
  16. Tekintse át a felhasználói szerepköröket az Azure-ban, és ellenőrizze, hogy megfelelően vannak-e hozzárendelve. Ezenkívül ellenőrizze authorize_url és a csoportleképezés helyes, mivel ezek a beállítások befolyásolják a hitelesítés sikerét.
  17. Használhatok más OAuth-szolgáltatót, mint az Azure?
  18. Igen, az Airflow más OAuth-szolgáltatókat is támogat, például a Google-t vagy az Oktát a szolgáltató-specifikus paraméterek beállításával OAUTH_PROVIDERS. Minden szolgáltató egyedi URL-címekkel és konfigurációs követelményekkel rendelkezhet.

Utolsó gondolatok az Azure Entra ID segítségével történő légáramlás biztosításához

Az Azure Entra ID integrálása az Airflow-val ésszerűsítheti a hitelesítést a szervezetek között. Az olyan OAuth-paraméterek gondos konfigurálásával, mint a jwks_uri és hozzáférési jogkivonat URL-jeit, biztonságos kapcsolatokat hoz létre, amelyek minimalizálják az illetéktelen hozzáférés kockázatát. Ez a biztonsági szint elengedhetetlen minden adatvezérelt szervezet számára.

Az Azure-beli szerepkör-leképezések méretezhető, szerepkör-alapú hozzáférési stratégiát tesznek lehetővé az Airflow-ban. Ezekkel a leképezésekkel hatékonyabbá válik a felhasználók kezelése és az engedélyek hozzárendelése, különösen nagyobb csapatokban. E konfigurációk világos megértése rugalmasabbá teheti az engedélyezési beállításokat a jövőbeli biztonsági igényekkel szemben. 🔒

Az Azure és az Airflow integráció legfontosabb forrásai és referenciái
  1. Microsoft dokumentáció az integrációról Azure Active Directory és OAuth a vállalati hitelesítéshez és hozzáférés-kezeléshez.
  2. Az Apache Airflow hivatalos útmutatója OAuth és biztonsági konfigurációk , amely betekintést nyújt a külső engedélyezési módszerek konfigurálásához.
  3. Helm részletes telepítési diagramja a következőhöz: Airflow Helm diagram , amely a Kubernetes-környezetek biztonságos telepítési gyakorlatára összpontosít.
  4. Insights a Python Flask-OAuth könyvtárból az integrációhoz Lombik OAuthlib Azure Entra ID-vel, amely kulcsfontosságú erőforrás a Python-alapú alkalmazásokban a jogkivonat áramlásának és a felhasználói jogosultság kezeléséhez.
  5. Az Azure AD hibaelhárítási erőforrásai a kezelésről OAuth-hoz kapcsolódó hibák , amely kifejezetten a JSON webes kulcskészletekkel és a token ellenőrzésével kapcsolatos problémákra összpontosít.